銀行和證券業內部稽核如何因應關於破壞性新興技術的風險 (中)

流程自動化機器人與認知智能等破壞性數位技術，正迅速重塑銀行和證券業的商業模式，並提升日常營運的創新與效率。在二月號《通訊》的〈銀行和證券業內部稽核如何因應關於破壞性新興技術的風險(上)〉文章中，我們探討了內部稽核如何面對銀行和證券業的破壞性數位轉型，本篇文章將接續討論破壞性數位轉型技術的具體風險，並提供內部稽核部門如何掌握及因應這些風險的相關建議，以進一步提出對於銀行和證券業內部稽核的前瞻性看法。

與自動化相關的關鍵風險

當流程自動化機器人 (robotic process automation, RPA) 和認知智能 (cognitive intelligence, CI) 技術引進金融圈生態系時，企業需要因應自身所面臨的潛在風險。我們將這些風險歸類為五大主要類型：

1.作業面

2.財務面

3.法規面

4.組織面

5.科技面

1.作業風險

• 設計不良的 RPA 與 CI 科技，再加上高速執行的智慧自動化技術 (bot)，將導致處理錯誤的數量倍增；
• 無效的智慧自動化技術 (bot) 監控程序將可造成高度衝擊的作業錯誤；
• 運用 RPA 和 CI 科技解決不同的業務問題時，將可能會導致環境無法標準化，並增加 bot 技術監控的複雜性；
• 開發人員用於訓練 CI 科技邏輯演算法的輸入資料可能是不完整、過時或是有偏誤的，或是欠缺足夠大量與多樣化的樣本數。此外，不適當的資料收集方式亦可能導致用以訓練演算法的資料跟實際作業所輸入的資料中間有落差；
• 以下缺陷將導致更多的作業風險：有缺陷的假設、不當的建模技術、編碼錯誤，以及自動化演算法過度符合訓練資料。

2. 財務風險

• 不當導入 RPA 與 CI 科技可能會造成組織財務與聲譽方面的損失；
• 引進軟體機器人用以收集機敏或受限制信息若未依循資料隱私標準或規範設置嚴格的保護性控制，將會導致資安法規的違規風險；
• 現階段許多 RPA 與 CI 科技仍相當新穎，也未臻成熟，將可能使企業曝露在第三方供應商和財務風險之中。

3.法規風險

• 法規或是監管制度的變更可能對於早期採用 RPA 與 CI 科技的企業產生重大影響；
• 某些被高度監管的業務流程 (例如資料隱私保護) 可能會是智慧自動化技術 (bot) 的「禁區」；
• 透過 RPA 與 CI 科技若產出不正確或不完整的監管報告，將可能會導致監理問題和鉅額罰款；
• 智慧自動化技術 (bot) 可能會與現行法律相牴觸 (例如，學習演算法可能會導致對少數群體的非法歧視)。

4.組織風險

• 全職雇員的替換與重新調整崗位可能會對員工士氣產生負面的影響；
• 組織中的職責錯位可能會導致角色和責任 (R&R) 方面的不對等；
• 缺乏一致性標準可能會導致轉變為智慧自動化技術 (bot) 的變革流程遭到阻礙；
• 單一智慧自動化技術 (bot) 相當於多個全職雇員，可能會導致風險的集中化；
• 初期部署智慧自動化技術 (bot) 將面臨對利益相關人進行認知訓練的挑戰。

5.科技風險

• 相較於既有 IT 平台的例行性維運作業，針對系統變更應進行影響性評估，導入有關機器人技術需要針對其衝擊影響進行更徹底的迴歸測試；
• 自動化演算法「黑盒子」的存在現實，使技術運行的透明度受到限制；
• 智慧自動化技術 (bot) 軟體需要權限才能存取資料、系統和應用程式。如同其他系統使用者一樣，智慧自動化技術 (bot) 將會面臨資訊安全和存取控制的挑戰；
• 智慧自動化技術 (bot) 可能被不當使用於執行任務或是從各個應用系統蒐集數據。智慧自動化技術 (bot) 也更容易受到硬體、韌體或應用程式等多重網路攻擊；
• 持續營運和災難復原 (BCDR) 計畫必須考慮導入進階分析技術、RPA 與 CI 的科技風險；
• 提供智慧自動化技術 (bot) 進行訓練的數據可能不完整、過時或是不相關，因而導致錯誤的結果；
• 設計不當的智慧自動化技術 (bot) 如工作速度超過協議的服務水準  (SLA)，可能會導致現有的 IT 系統負荷超載。

掌握稽核數位化風險的藝術

評估RPA與CI對現有控制環境 (包括新風險) 的衝擊影響是成功引進新興技術的必要條件之一。對內部稽核而言，沒有必要再另起爐灶，可以透過擴展延伸既有的企業風險管理方法以納入這些風險考量。在評估這些技術時，內部稽核應該在所被賦予的職責中找到平衡點：

確信：提供傳統的稽核保證

建議：作為值得信賴的顧問

預測：為因應眼前的新風險作好準備

這種平衡取決於組織內部稽核部門的成熟度與其戰略目標。

超越內部控制和法規遵循的框架，提供務實可執行的洞見以培養彈性及創造價值。

確信：信心

建議：洞見

預測：預知

確信

整個智慧自動化技術 (bot) 發展生命週期中的各項風險並不一定是新的風險。它們只是典型IT風險管理架構的延伸。如同第二道防線 (例如法令遵循和風險管理部門) 致力推動控制測試方法更加現代化，許多組織轉向採用聯合確信模式以提升確信效率，內部稽核的及早參與勢在必行，這將有助於內部稽核能在不重工的情況下，提供有效和具價值的確信。

在內部稽核提供確信過程中，可以納入一些務實的考量因素以增加價值，包括：

測試：內部稽核部門應有權限取存測試程序的相關文件，並獨立審查抽樣測試底稿、結果、和問題紀錄。

例外處理和監控：應設計一個完善的框架與流程以監控智慧自動化技術 (bot) 在測試和正式環境的運行情況，及規劃可能出現的各類問題處理方式。內部稽核應考量此監控框架的下列因素，以確保智慧自動化技術 (bot) 設計和運作的有效性：

• 智慧自動化技術 (bot) 問題的識別和解決：業務單位是否有任何工具和流程用於監控智慧自動化技術 (bot) 的產出品質、通報相關人員例外情況、及當智慧自動化技術 (bot) 任務執行失敗時能依事先定義好的行動計畫進行問題排除和復原？
• 智慧自動化技術 (bot) 變更管理：是否有智慧自動化技術 (bot) 變更作業的標準流程，包括通知利害關係人、更新程序、及智慧自動化技術 (bot) 組態設定？
• 第三方風險管理：自動化軟體供應廠商的合約內容是否與既有第三方技術供應廠商的協定互不牴觸？
• 營運持續性：加強持續營運和 IT 災難復原計畫，並檢視相關步驟是否包含將由智慧自動化技術 (bot) 所驅動的作業進行復原？ 
• 智慧自動化技術 (bot) 的監督及合規：智慧自動化技術 (bot) 的所有者與法遵人員如何監督由智慧自動化技術 (bot) 執行的各項工作以確保其遵循相關法規要求與符合公司政策。

重新檢驗過程：內部稽核應鼓勵業務和技術的利害關係人每年對 RPA 和 CI 智慧自動化技術的設計與導入進行重新檢驗。如果必要，流程也應進行測試，以針對其有效運作提供客觀確信。

建議

若組織內對於是否導入 RPA 和 CI 智慧自動化技術尚處於探索時期，內部稽核部門應該在導入前置階段即參與進來，並提出以下考量因素：

• 組織應評估自身針對 RPA 和 CI 智慧自動化技術涉入風險的因應能力
• 提供驅動績效提升和價值增加的領先實務相關指引
• 為了提升內部稽核的形象，在保持客觀性的同時也要展現對 RPA 和 CI 智慧自動化技術的相關知識

以下一些務實的考量項目可以幫助內部稽核提升自身的角色，轉而成為一個值得信賴的顧問：

導入流程文件化：內部稽核應鼓勵業務單位在 RPA 和 CI 智慧自動化技術導入前，建立與維護易於稽核的相關文件，列舉一些導入流程文件化的例子如下：

• 自動化策略：商業整體價值主張、範圍、資源 (成本、員工) 合理性，以及衡量 ROI 和價值的量化指標；
• 自動化流程文件化：詳列從抽樣到報告的細項步驟，以協助完成自動化流程的程式編譯；
• 自動化流程：機器人整個自動執行過程需可視覺化呈現；
• 自動化的 RPA 編碼：每個測試都需要包含端到端的 RPA 詳細編譯程式腳本；
• 測試工作底稿：需包括抽樣母體、例外報告、測試結果和最終測試結果 / 摘要

風險評估過程中的變化監控：內部稽核應持續進行風險評估過程，以便能夠及時評估創新所帶來的衝擊及影響。為此，內部稽核應考量技術變化，並將之整合納入風險評估過程。

執行動態性稽核程序：內部稽核應該更加緊執行動態和有效的稽核，特別是當組織部署了大規模及橫跨多種使用情境的智慧自動化技術。內部稽核可以考慮使用敏捷式方法來執行稽核作業。若使用的妥當，敏捷式內部稽核框架可以在短時間，針對小範圍執行稽核，並採漸進方式，聚焦在各項稽核作業之協同，透過更頻繁的意見反饋，以利迭代改善稽核流程與品質。

考慮報告的更新：內部稽核應辨識 RPA 和 CI 智慧自動化技術稽核所需採用的報告結構和層次 (例如，技術層次vs業務功能層次或確信層次vs諮詢層次)。

預測

無論組織面對破壞性數位轉型的成熟程度如何，內部稽核部門都必須預測、校準與監控各項新興風險、發展策略、及實施風險緩減措施。分析和新興技術可以使內部稽核部門能夠提供具洞察性、預應性、和前瞻性的觀點。

在最後一期，我們將進一步探討內部稽核如何協助組織在推動破壞性數位轉型和風險管控中取得平衡。

(本文節錄自Deloitte Auditing the risks of disruptive technologies 2017)